2024-10-30 14:23:12
25
作者
Sonja Raath
在 Facebook 上分享在 Twitter 上分享在 Whatsapp 上分享在 Telegram 上分享通过邮件分享
每年,世界密码日提醒我们加强数字防护。这个日子的设立旨在提高公众对密码在保护个人信息中作用的认识,同时也提醒我们在与网络威胁斗争中的持续努力。
但我们为什么如此依赖密码?为什么它们需要如此复杂?在即将到来的5月2日世界密码日之际,我们将探讨密码安全的历史,追溯其起源至数字认证的早期阶段。我们将揭示重大的数据泄露事件如何不仅暴露了安全漏洞,还催生了我们管理和保护密码策略的重大变化。
从简单的字符字符串到今天强大的多因素认证体系,请与我们一起探索塑造我们如何保护数字生活的创新技术。
白鲸加速器试用跳转到最早的密码是什么?重大数据泄露:时间线数字密码的发展密码管理的最佳实践无密码认证的兴起
在互联网诞生和我们现在高度依赖的数字便利之前,密码已成为社会安全措施的一部分。
追溯到古代文明时期,密码在维持机密性和确保安全通信中发挥了重要作用。例如,罗马军队的实践使用“口令”来管理进入保密区域的权限,确保只有持有正确短语的人才能通过,有效地区分敌友。
中世纪时期,随着密码学的兴起,密码的复杂性大幅提升。14世纪,埃及学者艾哈迈德阿尔卡尔卡山迪的密码学著作奠定了安全通信的基本概念。在文艺复兴时期,像利奥纳多巴提斯塔阿尔贝蒂等创新者进一步推动这些思想,开发了多表替密码,增强了消息的安全性,为我们今天使用的复杂加密技术奠定了基础。
阅读更多 加密如何塑造历史并将定义未来
在19世纪,官员使用蜡封等物理措施来证明重要法令和信件的真实性。像密码一样,它们提供了身份的保证。当然,其主要不同在于它们并非秘密存在,而是因其独特性而受到重视,因为其复杂性使它们难以复制。在这个意义上,或许它们可以与指纹等生物特征相提并论。
确保信件机密性的两个蜡封示例;维基共享资源
在美国的咆哮二十年代,禁酒令时期,密码在地下酒吧的活动中扮演了秘密角色。进入这些隐秘酒吧需要低声说出密码,以确保只有值得信赖的人才能参与这种秘密夜生活,反映了密码在控制通往受限活动的访问中的作用。
在第二次世界大战期间,尤其是在诺曼底战役中,军事密码的使用演变为包括密码和对密码系统。这一系统在战争条件下身份验证时至关重要,著名实例包括美国伞兵在“登陆日”使用的被称为“蟋蟀”的设备,作为唯一的临时身份识别方法。
1944年“登陆日”美军士兵使用的“蟋蟀”示例;维基共享资源
数字密码的转变发生在1960年代,当时MIT的费尔南多科尔巴托开发了兼容的时间共享系统CTSS。这一创新来自于早期计算机系统的需求,首次引入了密码保护的用户账户,使多个用户能够安全高效地共享系统资源这一发展是我们今天数据隐私和安全协议的重要一步。
随着技术在1970年代和1980年代的进步,密码的广泛采用对于对多用户系统和网络比如ARPANET,互联网的前身访问变得不可或缺。随着互联网的崛起,在1990年代和2000年代,密码成为数字安全的基础组件保护范围从电子邮件账户到网络银行都至关重要。
首台连接互联网即ARPANET的计算机SDS Sigma7;Flickr
然而,随着密码等安全措施的发展,网络犯罪分子企图窃取或绕过这些措施的手段也在不断演变。
全球范围内的数据泄露事件对我们管理数字密码的方式产生了深远的影响。以下是历史上一些最大的数据泄露如何改变我们管理密码安全的方式的深入分析:
被称为历史上第一次重大数据泄露,信用评级机构TRW信息系统现为Experian在1984年发生了一起重大事件,当时从加利福尼亚萨克拉门托的一家西尔斯商店盗取了一个信用文件的密码。该密码使未经授权的人能够访问大约9000万人的信用记录。被盗的密码随后在一个电子公告板上发布,可供广泛公众访问超过一个月,直到泄露被注意并报告。此次泄露导致敏感数据的曝光,包括姓名、地址、社会安全号码和信用评分。
响应TRW泄露事件导致密码和数据安全管理的重大变化,标志着向更复杂的数字密钥转变。这也促成了更严格的计算机犯罪法律的发展,包括1986年的计算机欺诈与滥用法案,加强了对未经授权计算机和网络访问的法律保护。这一事件催生了网络安全行业的兴起,增强了人们对不当密码管理和数据保护风险的认识。
Yahoo的数据泄露事件涉及几乎所有用户账户,发生在两个单独的事件中。2013年的泄露被称为历史上最大的单一数据泄露事件,影响了所有的Yahoo账户共计30亿个。泄露的数据包括姓名、电子邮件地址、电话号码、出生日期、哈希密码,以及在一些情况下,安全问题及答案。2014年的泄露则影响了大约5亿个账户,泄露了类似的个人数据。这些泄露事件的重要性不仅在于其规模,还在于被窃取数据的性质,直接影响了受影响账户的安全性。而且这些事件在Verizon收购Yahoo时还显著影响了其估值,导致购买价格减少35亿美元。
响应对泄露数据的分析显示,惊人数量的账户依然使用简单的密码,如“123456”或“password”。Yahoo及整个技术行业因此被迫采取更强大的安全措施,包括增强密码加密和采用更安全的多因素认证MFA流程。
2013年6月,MySpace发生了一次重大数据泄露,影响了大约36亿个账户。泄露的数据包括用户名、密码和电子邮件地址。这些被盗数据来自于该平台较早版本的系统,而该系统在当月晚些时候进行了重大网站重设计。这次袭击背后的网络犯罪分子被称为“和平”,该人士与其他一些高知名度的泄露事件有关。
响应MySpace泄露事件发生时,数字隐私和安全意识正在提高,但仍未成为社交媒体用户的首要关注。泄露的规模使其成为当时最重大的泄露事件之一,突显了用户存储数据尤其是密码的脆弱性。
为应对这一泄露事件,MySpace作废了2013年重设计之前创建的所有账户密码,强调了强密码和定期更新密码的必要性,此次事件凸显了安全措施的坚固性的重要性,引发了业界对更好做法的普遍采用,例如哈希和加盐密码,以增强抵抗破解的能力。
2016年,成人交友网络发生了一次大规模数据泄露,曝光了超过412亿个账户。泄露涉及网络内多个网站,包括AdultFriendFindercom,且是由于局部文件包含漏洞导致的。泄露的数据包括用户名、电子邮件、登录日期和密码,其中许多密码以明文或使用弱SHA1算法存储,这使得它们易于破解。这次泄露不仅因为暴露的数据量庞大而显著,还因为包括了许多用户已删除的账户信息,但该信息仍被公司保留。
响应在泄露发生后,成人交友网络立即采取了安全系统的补救措施,包括修补漏洞和实施全网范围的密码重置。这次事件强调了更强安全措施的必要性,例如使用健康的哈希算法,定期更新和审计安全实践。此外,它还突显了伦理数据保留实践的重要性,尤其涉及被删除的账户。
2016年6月,俄罗斯流行社交网络平台VKontakteVKcom发生了一次重大数据泄露。黑客获取了超过1亿用户的账户信息,包括姓名、电子邮件地址和明文密码。这些数据随后在暗网出售。此次泄露突显了该平台安全措施不足,因为这些密码未进行任何加密存储。明文密码的曝光造成了严重风险,可能让攻击者轻易访问用户的VK账户,甚至其他使用相同密码的账户。
响应这一泄露事件为强密码管理和安全措施的重要性敲响了警钟。它促使VK及其他公司重新评估并强化网络安全策略,尤其在密码加密及使用更复杂的身份验证方法保护用户数据方面。
2018年,包含超过11亿印度公民生物特征和个人信息的Aadhaar数据库经历了一次重大数据泄露。此次泄露曝光了敏感信息,如姓名、地址及其他人口统计细节。泄露对印度的数据安全具有重大影响,引发了对大型政府数据库个人信息保护的担忧。
响应为应对泄露事件,印度公众呼吁加强数据保护法的审查和执行。该事件引发了有关实施更强安全实践的讨论,包括采用更好的密码管理和身份验证技术,以保护敏感信息。这次泄露也突显了不断改进安全基础设施和监管框架的重要性,以保护个人数据不被未经授权访问。
2018年万豪国际的数据泄露事件引发关注,约5亿顾客受影响。此次泄露起源于万豪2016年收购的喜来登酒店集团系统。攻击者自2014年起就在未授权的情况下进入Starwood客人预定数据库,但直到2018年9月万豪收到内部安全工具的警报时才发现泄露情况。受影响的信息包括姓名、邮寄地址、电话号码、电子邮件地址、护照号码、万豪优先顾客账户信息、出生日期、性别以及入境和离境信息。对于许多顾客,甚至连加密的支付卡数据也遭到泄露,连加密密钥都被盗走。
响应针对这次泄露事件,万豪不仅解决了数据曝光的紧急问题,还审查并加强了其密码和身份验证系统,以防止未来发生类似事件。然而,万豪同时也面临法律和监管后果,因涉及欧盟公民数据而在英国根据GDPR遭到巨额罚款。
LinkedIn经历了两次重大数据安全事件,分别发生在2012年和2021年。在2012年,黑客入侵了LinkedIn的网络,导致167亿用户账户遭曝光,内容包括用户名、电子邮件地址和哈希密码。此泄露事件于2016年公开,当时被盗数据在暗网出现。2021年的事件则涉及从大约7亿用户资料中提取的数据,该数据被在线出售,包括电子邮件地址、全名、电话号码、物理地址、地理位置记录及其他专业信息。
响应2012年的泄露直接影响了密码安全,因为其表明未加盐的哈希密码使得黑客能够轻易破解密码。这促使LinkedIn改进其哈希算法并引入双因素认证2FA来增强账户的安全性。2021年的事件则引发了对防止未经授权的数据抓取的进一步审查和对提高用户数据保护的呼声,重新评估第三方应用和服务访问和使用用户数据的方式。
2019年,一次重大的数据泄露事件曝光了约54亿Facebook用户的个人信息,这些信息存储在亚马逊云计算服务上。此次事件涉及两个第三方Facebook应用开发者,Cultura Colectiva和“At the Pool”应用。曝光的数据包括账户名称、ID、评论、反应以及来自“At the Pool”应用的约22000用户的未保护密码。此次泄露主要源于不当保护的数据库,这些数据库未经适当保护地公开可访问。
响应在此泄露之后,技术界显著推动加强对第三方开发者的管理和监控,以防止类似事件发生。Facebook加大了对其平台上应用的审查力度,试图加强对用户数据的访问控制。此次泄露也加速了对强密码管理和多因素身份验证实施的讨论。这些措施旨在减少未经授权访问的风险,即使用户数据在无意中被第三方所曝光。
阅读更多 如何恢复被黑的Facebook账户
2019年,发生了一次历史上最严重的数据泄露事件,涉及阿里巴巴云,其中来自上海市警方数据库的数据未加密并公开可访问,长达一年。这一庞大的数据包达23TB,包含了超过10亿中国公民的姓名、出生日期、地址和国家身份证号码等敏感个人信息。此次泄露在黑客论坛上被一个匿名用户以10个比特币出售时曝光。
如此庞大的敏感数据曝光,不仅危害了个人隐私,还凸显了阿里巴巴云在数据安全实践上的重大漏洞。此事件引发了中国政府和公众的巨大关注,强调了在处理如此大规模的敏感信息时对严格安全措施的迫切需求。此次泄露可能对超过70的中国人口的隐私产生潜在影响,考虑到所涉及的数据规模。
响应针对这次泄露事件,阿里巴巴云被迫重新评估并强化其密码和认证系统等诸多方面。此事件也影响了整个行业的密码安全实践,促使其他云平台加强对类似漏洞的防护措施。
虽然数据泄露无疑成为重塑密码管理实践的催化剂,但这些政策的演变并并非仅由对网络事件的反应推动。技术进步和持续的研究同样起着重要作用,推动着网络安全的边界。像国家标准与技术研究院NIST等机构站在这一运动的最前沿,持续调整指南以保持领先于新出现的威胁。
回顾数字认证的早期阶段,创建密码相对简单一个简单的单词或基本数字字符串往往足以应对。但随着互联网的快速发展,网络威胁也随之增长,这迫使我们对保护数字安全的方式进行根本性的转变。最初,像NIST这样的机构提倡使用复杂的密码,要求混合数字、符号、以及大写和小写字母。这种复杂性旨在抵御暴力破解攻击,即攻击者尝试所有可能的组合,以及字典攻击,即使用常见单词和短语访问账户。
然而,单纯关注密码的复杂性逐渐发生了转变,因为研究表明,长度和不可预测性能提供更好的安全性。NIST 2017年的指南在密码安全哲学中标志着重要变革,提倡使用更长的密码短语,这些短语对用户容易记住,但对攻击者来说却难以猜测。这些指南摒弃了一味要求复杂字符组合的模式,而是强调了密码长度和避免可预测模式的重要性。
密码泄露的风险,无论是通过社会工程学还是使用弱密码,推动了身份验证实践的变化。如今,仅依赖单一密码进行身份验证已不够安全。多因素认证,通常表现为一次性密码、生物特征识别、身份验证应用或硬件密钥,如今被认为是不可或缺的,尤其是在工作环境中。
如今,管理大量密码已经成为许多人常见的烦恼。这往往导致“密码疲劳”,即想要记住多个复杂密码的努力,导致了像在多个网站上重复使用相同密码这样不安全的做法。这种情况相当不理想,因为它带来了重大的安全风险一个被盗的密码可能会让攻击者访问众多账户。
阅读更多 你花多少时间重置密码?
针对这些问题,密码管理技术有了显著进步。密码管理器现在在帮助跟踪我们的密码方面发挥着关键作用,能够以加密格式存储密码。只需一个主密码即可访问所有密码。这样不仅不必记住每个密码,而这个系统还使我们能够创建复杂、冗长的无意义密码,破解它们可能需要数百年的时间。
此外,像2FA和MFA等技术也逐渐成为标准,增加了一层超越传统密码的安全保障。个人和组织现可以采取一些前瞻性措施来保护其数字生活,具体如下:
个人 组织使用强密码:选择长且复杂的随机生成密码,并确保每个密码各不相同。这大大提高了安全性。为进一步保护,启用双因素认证2FA,即使密码被盗,账户也更难受到侵害。 使用单点登录SSO技术:SSO可以通过允许员工使用一组凭据访问多个应用,减少密码疲劳和安全风险,这些凭据会集中管理和保护。选择密码管理:更好的是,使用密码管理器,比如ExpressVPN Keys,它包含在每个ExpressVPN订阅中。一个主密码让你访问所有密码。无需记住它们,你可以随意创建长且随机的密码。 实施多因素认证MFA:除了密码,组织应实施额外的安全层。MFA要求用户使用他们知道的东西密码、他们拥有的东西安全令牌或他们本身的生物识别验证来确认身份,增加了授权访问的额外障碍。启用账户通知:通过启用账户登录和更改的通知,随时了解任何异常活动。这样,如果有人尝试访问你的账户或更改你的安全设置,你会立即收到警报并可以采取适当措施。 教育员工:进行更高层次的网络安全培训,内容超越基本密码管理,包含钓鱼和其他网络威胁的真实场景模拟。这有助于员工有效识别和应对安全威胁。
尽管我们在密码管理方面取得了重大进展,但传统的密码系统已逐渐失去适应当今安全威胁的能力。密码难以管理,容易遗忘,而且往往成为黑客利用的薄弱环节。因此,像苹果、谷歌和微软这样的科技巨头正推动向更好的解决方案转变,即通行证钥匙passkeys。
通行证钥匙消除了我们苦于记忆的密码,而是使用一对加密密钥。公钥存储在服务器上,而私钥则保留在你手中,通常还会用指纹、面部识别或PIN进行进一步的保护。
无密码认证并不易受到与设置密码相关的主要风险影响。要想以你身份登录,他们必须拥有你的物理设备。对于他们来说,即使有了设备,没有你的生物识别信息或PIN他们也无法访问。而使用通行证钥匙意味着数据泄露不会影响你的登录:例如,如果某人入侵公司服务器,他们无法发现你的密码因为它是不存在的。
然而,尽管通行证钥匙提供了显著的优势,但尚未得到广泛采用。许多用户和组织仍需时间来理解它们的工作原理以及如何将其集成到各自的系统中,这涉及财政和后勤的考虑。此外,尽管传统密码有诸多局限性,许多人仍青睐于其熟悉度。
目前,在过渡阶段,保持你当前的密码随机生成且安全是关键。做到这一点的最简单方式?没错,就是使用密码管理器。
历史上最大的数据显示发生在2013年,涉及Yahoo。此次泄露影响了大约30亿用户账户。黑客获得了Yahoo网络的访问权限,泄露了个人信息,包括姓名、电子邮件地址、电话号码、出生日期,以及在某些情况下,已加密或未加密的安全问题和答案。Yahoo于2016年披露这一泄露事件,被视为迄今为止最广泛的用户数据曝光。
什么是好的密码管理器?ExpressVPN Keys是一个很好的选择,特别是你是ExpressVPN的订阅用户,因为它包含在每个订阅中。它采用零知识安全模型,确保只有用户才能访问自己的密码。它支持多个设备之间的同步,使动态管理密码变得方便且安全。
除了Keys外,其他一些信誉良好的密码管理器包括LastPass、1Password和Dashlane。这些平台以其强大的安全功能而闻名,例如加密存储和多因素认证。它们还提供用户友好的界面、安全的密码分享选项,以及为每个网站生成强大且独特密码的能力,从而增强了整体在线安全性。
我如何在我的iPhone上查找我的密码?在你的iPhone上保存密码是可能的。要找出并管理你在iPhone上保存的密码,请遵循以下步骤:
打开设置:点击iPhone主屏幕上的“设置”图标。访问密码:向下滚动并点击“密码”。身份验证:你将被要求通过面部ID、触控ID或设备密码进行身份验证。查看密码:一旦通过身份验证,你将看到你保存的所有网站和应用程序的密码列表。点击任意项目以查看密码详情。我如何找回我的谷歌密码?如果需要找回谷歌密码,请遵循以下步骤重置它:
访问谷歌账户恢复页面:输入“谷歌账户恢复”在你的网页浏览器中,或直接访问https//accountsgooglecom/signin/recovery。输入你的电子邮件:输入你用于谷歌账户的电子邮件地址,然后点击“下一步”。按照提示操作:谷歌会引导你通过步骤以验证你的身份。这可能包括回答安全问题、验证发送到你手机的代码或确认与已连接设备上的消息。重置密码:一旦你的身份得到确认,你将被给予创建新密码的选项。选择一个强大且独特的密码来保护你的账户。记住,如果你已经在网页浏览器或密码管理器中保存了谷歌密码,也可以从那里找到,查看相应的密码部分。
隐私应该是一种选择。选择ExpressVPN。获取ExpressVPN
30天退款保证
我们非常重视您的隐私。试用ExpressVPN无风险。获取ExpressVPN
什么是VPN?
标签密码Sonja Raath
我喜欢标签,因为它们看起来像华夫饼,我的双关语是故意的,而且我喜欢观看不寻常动物友谊的视频。但这未必是按顺序排列的。
您是否喜欢您所阅读的内容?为这篇文章点赞。或分享你的想法!
5
0